Ankündigung

Einklappen
Keine Ankündigung bisher.

Suche "Register globals" Patch....

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Suche "Register globals" Patch....

    Als Fan von Register-globals bin ich leider gezwungen was zu unterneh


    Hat jemand ein patch welcher bei register globals = off (php6 usw)

    trotzdem alles auf eine variable zusammen führt?
    $_POST, $_GET, $_Cookies.. usw.

    Bin eifach zu faul das alles zu unterscheiden oder die hälft meiner Skripts zu ändern.

    -----
    Bitte kommt mir nicht mit dem Thema "Sicherheit" oder "ich würde ausschalten".. usw. Einem guten Entwickler passieren solche Fehler nicht, aber man hat mehr Arbeit.
    www.scriptforums.com - Foren für Skripts
    www.ragonvote.net - Kostenlose Umfragen
    www.ragonsoft.com - PHP und Android Apps (z. B. Knoten Video Guide)

  • #2
    Obwohl das Schwachsinn ist, kannst die mit array_merge() zusammenfügen.
    Competence-Center -> Enjoy the Informatrix
    PHProcks!Einsteiger freundliche TutorialsPreComposed Packages

    Kommentar


    • #3
      Zitat von Arne Drews Beitrag anzeigen
      Obwohl das Schwachsinn ist, kannst die mit array_merge() zusammenfügen.
      Danke..

      Naja die goblas waren für mich der Hauptgrund von Perl auf PHP zu kommen.
      Wenn man jede variable prüft und mit einem wert belegt sind die angriffe unmöglich.

      Das problem ist das einige programmier variabeln setzen ohne ihnen zuvor einen wert zu zuweisen. und sich darauf verlassen "$loggedin".

      Ich bin begeistern von jedem Zugriff auf mein skript und zwar egal woher er auch immer kommt


      das hier scheint auch zu klappen...
      PHP-Code:
      extract($_GETEXTR_SKIP);
          
      extract($_POSTEXTR_SKIP);
          
      extract($_COOKIEEXTR_SKIP); 
      geht in php6 auch oder?
      www.scriptforums.com - Foren für Skripts
      www.ragonvote.net - Kostenlose Umfragen
      www.ragonsoft.com - PHP und Android Apps (z. B. Knoten Video Guide)

      Kommentar


      • #4
        Zitat von advanced_phpler Beitrag anzeigen
        Naja die goblas waren für mich der Hauptgrund von Perl auf PHP zu kommen.
        Wenn man jede variable prüft und mit einem wert belegt sind die angriffe unmöglich.

        Das problem ist das einige programmier variabeln setzen ohne ihnen zuvor einen wert zu zuweisen. und sich darauf verlassen "$loggedin".
        Konjunktiv... hätte, würde, könnte (Erinnert mich an den Spruch "Wenn das Wörtchen 'wenn' nicht wär, wär mein Vater Millionär")

        Und du beschreibst grade den Grund, warum register_globals eben NICHT verwendet werden sollte. Nur einmal geschludert, schon hat man die Sicherheitslücke. Klar, wenn man nicht schludert, wenn man alles bedenkt - das ist aber nicht die Realität...
        Über 90% aller Gewaltverbrechen passieren innerhalb von 24 Stunden nach dem Konsum von Brot.

        Kommentar


        • #5
          Sehe ich genauso, Istegelitz! Ich würde weder extract() verwenden, noch alles "mergen".

          @advanced_phpler:
          Du verkettest alle globalen Arrays zu einem Gesamtarray zusammen, welches dem veralteten $_REQUEST identisch ist.

          Auch das extract finde ich nicht besonders clever!
          Ich frage mich wozu das ganze ???


          Zitat von advanced_phpler
          Bin eifach zu faul das alles zu unterscheiden oder die hälft meiner Skripts zu ändern.
          Diese Aussage, Deine Signatur und die Tatsache, daß Du auf array_merge() nicht selbst gekommen bist,
          lassen mich Deinen angegebenen Kenntnisstand in Frage stellen...
          Competence-Center -> Enjoy the Informatrix
          PHProcks!Einsteiger freundliche TutorialsPreComposed Packages

          Kommentar


          • #6
            Zitat von Arne Drews Beitrag anzeigen
            Diese Aussage, Deine Signatur und die Tatsache, daß Du auf array_merge() nicht selbst gekommen bist,
            lassen mich Deinen angegebenen Kenntnisstand in Frage stellen...
            Zum thema "wenn" das stimmt. mein code ist eher für anderes anfällig als für globale werte. Überschreibe jede variable bevor ich sie brauche.. mit Ausnahme des externen inputs, der wird validiert oder in einen passenden typumgewandelt.

            mergen....
            Ach so.. naja hatte ca. 2 jahre Pause... mergen hab ich selten gebraucht. hm ich versuchs mal damit.... Extract bringt nicht ganz den gewünscht effekt...

            nun da es Richtung php6 geht und globals und magic-qutoes rausfallen, darf ich umdenken, eingeschränkter programmieren und altes patchen.
            www.scriptforums.com - Foren für Skripts
            www.ragonvote.net - Kostenlose Umfragen
            www.ragonsoft.com - PHP und Android Apps (z. B. Knoten Video Guide)

            Kommentar


            • #7
              nun da es Richtung php6 geht und globals und magic-qutoes rausfallen, darf ich umdenken, eingeschränkter programmieren und altes patchen.
              Du bist also der Meinung, daß Du ALLE Fälle einer Injection selbst berücksichtigen kannst??? Dann mach es so, ich laß ne Taube für Dich fliegen...

              Generell denke ich solltest Du Deine Programmier-Einstellung gravierend ändern.
              Wenn Du schon heute noch auf register_globals baust, möchte ich nicht wissen, was in Deinen Scripten alles noch zusätzlich DEPRECATED ist...

              Da kommt einiges an "Renovierungs"-Arbeit auf Dich zu. Wenn man da nicht sogarschon von "Sanierung" sprechen muß...
              Competence-Center -> Enjoy the Informatrix
              PHProcks!Einsteiger freundliche TutorialsPreComposed Packages

              Kommentar


              • #8
                Zitat von Arne Drews Beitrag anzeigen
                Du bist also der Meinung, daß Du ALLE Fälle einer Injection selbst berücksichtigen kannst??? Dann mach es so, ich laß ne Taube für Dich fliegen...
                Man kann nicht alles ausschliessen. Generell gibt es nicht sooo viele Angriffspunkte: Dateisystem, MySQL, Code

                Dateisystem:
                user keinen einfluss darauf haben lassen.
                z.b. kein:
                PHP-Code:
                include("$id"); 
                ohne das $id aus dem code kommt und nicht von extern.

                mysql:
                mysql_real_escape_string nutzen.. wenn das nicht hilft dann gute nacht
                (bin mittlerweile da schon eine eigene funktion am schreiben, für den fall das
                mysql_real_escape_string nur 99% schützt. quotet aber gefährlichsten Zeichen ' \ )

                code:
                prüf ich gleich mal wie das ganze ohne maqicquotes aussieht...
                www.scriptforums.com - Foren für Skripts
                www.ragonvote.net - Kostenlose Umfragen
                www.ragonsoft.com - PHP und Android Apps (z. B. Knoten Video Guide)

                Kommentar


                • #9
                  Das hat nicht ausschliesslich was mit magic_quotes zu tun!
                  Funktionen, die DEPRECATED sind werden zum größten teil in PHP6 rausfliegen!
                  Danach solltest Du aich schon mal schauen...
                  Competence-Center -> Enjoy the Informatrix
                  PHProcks!Einsteiger freundliche TutorialsPreComposed Packages

                  Kommentar


                  • #10
                    Zitat von Arne Drews Beitrag anzeigen
                    Das hat nicht ausschliesslich was mit magic_quotes zu tun!
                    Funktionen, die DEPRECATED sind werden zum größten teil in PHP6 rausfliegen!
                    Danach solltest Du aich schon mal schauen...
                    Ok, weisst du wo ich dazu infos finde?
                    (weiss es nur grad noch von "ereg" aber nutze so oder preg_replace)

                    auf
                    PHP: Hypertext Preprocessor sieht man ab und zu wenn bei einer funtkion gewarnt wird. Aber gibts nirgends eine zusammenstellung?
                    www.scriptforums.com - Foren für Skripts
                    www.ragonvote.net - Kostenlose Umfragen
                    www.ragonsoft.com - PHP und Android Apps (z. B. Knoten Video Guide)

                    Kommentar


                    • #11
                      What is DEPRACETED
                      Competence-Center -> Enjoy the Informatrix
                      PHProcks!Einsteiger freundliche TutorialsPreComposed Packages

                      Kommentar


                      • #12
                        Zitat von Arne Drews Beitrag anzeigen
                        Super danke...

                        bei "mysql_db_query" -> dachte darüber nach diese öfters zu nutzen. (bis jetzt nur 1 mal verwendet) gut also weiterhin selecten und dann querys...

                        der rest stellt kein problem dar, abgsehen von den globals.
                        www.scriptforums.com - Foren für Skripts
                        www.ragonvote.net - Kostenlose Umfragen
                        www.ragonsoft.com - PHP und Android Apps (z. B. Knoten Video Guide)

                        Kommentar

                        Lädt...
                        X